Ook voor security-awareness helpt een visie

Ook voor security-awareness helpt een visie

Richting geven door een visie. Waar willen we naartoe. Het motiveert mensen om stappen te zetten, om mee te doen als er een aansprekend beeld is. Met een heldere visie ga je gecoördineerd dezelfde kant op. Als je een keuze moet maken, doe ik A of doe ik B, dan helpt het enorm als er een visie is. Wat past beter bij die visie? Meestal is de keus dan snel gemaakt.

Als je geen heldere visie hebt op security-awareness blijft iedereen zijn eigen gang gaan. Het demotiveert als het lijkt alsof niemand weet waarom het belangrijk is en waar we naartoe willen. Iedereen geeft op zijn eigen manier invulling aan zijn taken: het leveren van goede zorg, maar daarbij denkt niet iedereen direct aan wat de consequenties zijn voor de privacy van de cliënt of medewerker. Een kwaliteitsprogramma van 800 pagina’s zal mensen eerder afkeer opwekken dan enthousiasme. Ook een gedetailleerde Excel met veel getallen kan meestal op weinig bijval rekenen van de zorgmedewerker.

informatiebeveiliging

 

Wat staat er dan wel in een effectieve visie?

Een visie schetst een aantrekkelijk beeld van de toekomst waar professionele medewerkers tevreden cliënten ondersteunen. Het is niet te specifiek, maar ook niet te vaag. De visie is ambitieus, brengt focus aan en laat mensen beter presteren.

Voorbeelden van visies op security-awareness en privacy, zoals je die kunt vinden op internet:

  1. Wij onderwijzen, inspireren en versterken medewerkers en externe inhuurkrachten om informatiebeveiligingsbewust te zijn bij het beschermen van bedrijfs- en klantgegevens. We zijn toegewijd aan de ontwikkeling van het informatiebeveiligingsbewustzijn van iedereen die toegang heeft tot onze bedrijfsinformatie en op onze beurt verwachten we dat al onze gebruikers zich inzetten voor beveiliging.
  2. Missie van een succesvol bewustzijnsprogramma: op het juiste moment de juiste boodschap aan de juiste mensen te geven.
  3. Onderhouden en monitoren van een hoog-impact informatiebeveiligingstrainings- en bewustmakingsprogramma dat risico’s vermindert door gebruikers te trainen om risicovol gedrag te veranderen

Persoonlijk vind ik deze visies nog erg gericht op het middel en niet op het doel. Ik denk bijvoorbeeld meer aan iets in de richting van: “de privacy van de cliënt is de verantwoordelijkheid van ons allemaal, daarom […]”; als vertrouwelijkheid voor jou de belangrijkste reden is om aan security-awareness te doen. Je kunt ook focussen op het belang van beschikbaarheid, bijvoorbeeld: “omdat beschikbaarheid van informatie essentieel is voor het verlenen van goede zorg, zorgen we samen voor de veiligheid van IT-systemen en andere informatie door […]”.

 

Draagvlak

Het bestuur moet helemaal achter de visie staan. Maar ze hoeven hem niet helemaal zelf te creëren. Laat invloedrijke mensen uit de hele organisatie meepraten. En dat kunnen mensen op alle plaatsen en functies zijn. Het is belangrijk dat er draagvlak is voor de visie. Niet alleen bij het bestuur. Voor security-awareness zijn afdelingen als communicatie en HR essentieel om te betrekken. Als je dit niet tijdig doet gaan de hakken in het zand. Dat blijkt ook uit internationaal onderzoek: de afdeling communicatie is vaak een blokker, die houdt campagnes tegen. Oorzaak is dat zij vaak pas op het allerlaatst betrokken worden met een verzoek: “we hebben deze campagne bedacht, kunnen jullie die even uitrollen?” Daar houden ze bij de afdeling communicatie niet van. Zorg dus dat je ze tijdig betrekt.

 

En dan heb je een visie…

Uit een gedragen visie kun je afleiden waar je mee aan de slag moet. Je kiest de strategieën, maakt plannen en reserveert middelen. Zonder visie is het risico dat je blijft hangen in onsamenhangende acties. En dat is zonde van de energie.

 

Het opstellen van een visie, en het creëren van draagvlak, is één van de fases in het PrivacyLab-model voor privacybewustzijn. Alleen een e-learning naar binnen schuiven is weinig effectief. De fases in het model zorgen ervoor dat je met alle partijen binnen de organisatie werkt aan blijvend bewustzijn.

Vragen? Neem dan gerust contact met mij op.

Voor mensen die in hun organisatie verantwoordelijk zijn voor het op stapel zetten van een bewustwordingsprogramma geef ik een eendaagse training. Meer informatie op  www.projectblauw.nl/privacybewustzijn.

Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. (sharebuttons zonder third-party tracking)

0 Comments

Leave Reply

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *